Kategorie CISA

Ein zentraler Grundsatz des agilen Ansatzes für das Software-Projektmanagement ist das Lernen im Team und die Nutzung dieses Lernens zur Verfeinerung des Projektmanagements und der Softwareentwicklungsprozesse während des Projektverlaufs. Eine der besten Möglichkeiten, dies zu erreichen, besteht darin, dass das Team am Ende jeder Iteration prüft und dokumentiert, was gut funktioniert hat und was besser hätte funktionieren können, und Verbesserungen festlegt, die in den nachfolgenden Iterationen umgesetzt werden. CMM und Agile befinden sich eigentlich an entgegengesetzten Polen. CMM legt großen Wert auf vordefinierte formale Prozesse, formales Projektmanagement und Softwareentwicklungsergebnisse. Agile Projekte hingegen verlassen sich auf die Verfeinerung von Prozessen, die von den besonderen Anforderungen des Projekts und der Teamdynamik bestimmt werden. Außerdem wird weniger Wert auf formale, papierbasierte Ergebnisse gelegt, sondern vielmehr auf eine effektive, informelle Kommunikation innerhalb des Teams und mit wichtigen externen Partnern. Agile Projekte produzieren releasefähige Software in kurzen Iterationen, die in der Regel zwischen 4 und 8 Wochen dauern. Dies führt zu einer erheblichen Leistungsdisziplin innerhalb des Teams. In Verbindung mit kurzen täglichen Besprechungen, in denen die Arbeit des Teams abgestimmt und eventuelle Hindernisse identifiziert werden, macht dies die Verfolgung der Aufgaben anhand eines Zeitplans überflüssig. In agilen Projekten werden zwar geeignete Entwicklungswerkzeuge eingesetzt, diese werden jedoch nicht als primäres Mittel zur Erreichung der Produktivität angesehen. Harmonie im Team, effektive Kommunikation und die gemeinsame Fähigkeit, Herausforderungen zu lösen, sind von

Abschnitt: Governance und Management der IT

Abschnitt: Betrieb, Wartung und Unterstützung von Informationssystemen
Erläuterung:
Kupferkabel sind sehr einfach zu installieren und leicht anzuzapfen. Es wird meist für kurze Strecken verwendet und unterstützt Sprache und Daten.
Für Ihre Prüfung sollten Sie die folgenden Informationen über Übertragungsmedien kennen:
Kupferkabel
Kupferkabel sind sehr einfach zu installieren und leicht anzuzapfen. Es wird meist für kurze Strecken verwendet und unterstützt Sprache und Daten.
Kupfer wird seit der Erfindung des Elektromagneten und des Telegrafen in den 1950er Jahren für elektrische Leitungen verwendet.
Mit der Erfindung des Telefons im Jahr 1876 stieg die Nachfrage nach Kupferdraht als elektrischem Leiter.
Kupfer ist der elektrische Leiter in vielen Kategorien der elektrischen Verdrahtung. Kupferdraht wird in der Stromerzeugung, der Stromübertragung, der Stromverteilung, der Telekommunikation, in elektronischen Schaltkreisen und in unzähligen Arten von elektrischen Geräten verwendet. Kupfer und seine Legierungen werden auch für die Herstellung elektrischer Kontakte verwendet. Die elektrische Verdrahtung in Gebäuden ist der wichtigste Markt für die Kupferindustrie. Etwa die Hälfte des gesamten geförderten Kupfers wird für die Herstellung von elektrischen Drähten und Kabeln verwendet.
Kupferkabel

Koaxialkabel
Koaxialkabel oder Koax (ausgesprochen "ko.aks") ist ein Kabeltyp mit einem Innenleiter, der von einer röhrenförmigen Isolierschicht umgeben ist, die wiederum von einer röhrenförmigen leitenden Abschirmung umgeben ist. Viele Koaxialkabel haben auch einen isolierenden Außenmantel oder eine Ummantelung. Der Begriff koaxial kommt daher, dass der Innenleiter und die äußere Abschirmung eine gemeinsame geometrische Achse haben. Koaxialkabel wurden von dem englischen Ingenieur und Mathematiker Oliver Heaviside erfunden, der das Design 1880 patentieren ließ. Koaxialkabel unterscheiden sich von anderen abgeschirmten Kabeln, die für die Übertragung von Signalen mit niedrigeren Frequenzen, wie z. B. Audiosignalen, verwendet werden, dadurch, dass die Abmessungen des Kabels kontrolliert werden, um einen präzisen, konstanten Leiterabstand zu erhalten, der für eine effiziente Funktion als Hochfrequenzübertragungsleitung erforderlich ist.
Koaxialkabel sind teuer und unterstützen nicht viele LANs. Es unterstützt Daten und Video.

Koaxialkabel
Faseroptik
Ein Lichtwellenleiterkabel ist ein Kabel, das eine oder mehrere Lichtwellenleiter enthält, die zur Übertragung von Licht dienen. Die Glasfaserelemente sind in der Regel einzeln mit Kunststoffschichten ummantelt und befinden sich in einem Schutzrohr, das für die Umgebung geeignet ist, in der das Kabel verlegt wird. Verschiedene Kabeltypen werden für unterschiedliche Anwendungen verwendet, z. B. für die Fernkommunikation oder für Hochgeschwindigkeitsdatenverbindungen zwischen verschiedenen Gebäudeteilen.
Glasfaserkabel werden für große Entfernungen verwendet, sind schwer zu spleißen, nicht anfällig für Übersprechen und schwer anzuzapfen. Es unterstützt Sprachdaten, Bild und Video.
Glasfaseroptik

Funksystem
Funksysteme werden für kurze Entfernungen eingesetzt, sind billig und leicht abzufangen.
Radio ist die Abstrahlung (drahtlose Übertragung) von elektromagnetischen Signalen durch die Atmosphäre oder den freien Raum.
Informationen, wie z. B. Schall, werden durch systematische Änderung (Modulation) bestimmter Eigenschaften der ausgestrahlten Wellen übertragen, z. B. ihrer Amplitude, Frequenz, Phase oder Impulsbreite. Wenn Radiowellen auf einen elektrischen Leiter treffen, induzieren die schwingenden Felder einen Wechselstrom in dem Leiter. Die in den Wellen enthaltenen Informationen können extrahiert und in ihre ursprüngliche Form zurückverwandelt werden.
Mikrowellen-Funksystem
Der Begriff Mikrowellenübertragung bezieht sich auf die Technologie der Übertragung von Informationen oder Energie mit Hilfe von Radiowellen, deren Wellenlänge in kleinen Zentimetern gemessen wird; diese werden Mikrowellen genannt.
Mikrowellen werden häufig für die Punkt-zu-Punkt-Kommunikation verwendet, da ihre geringe Wellenlänge es ermöglicht, sie mit kleinen Antennen in enge Strahlen zu lenken, die direkt auf die Empfangsantenne gerichtet werden können. Dadurch können in der Nähe befindliche Mikrowellengeräte dieselben Frequenzen nutzen, ohne sich gegenseitig zu stören, wie dies bei Funkwellen mit niedrigeren Frequenzen der Fall ist. Ein weiterer Vorteil ist, dass die hohe Frequenz der Mikrowellen dem Mikrowellenband eine sehr große Informationsübertragungskapazität verleiht; das Mikrowellenband hat eine Bandbreite, die 30 Mal so groß ist wie das gesamte übrige Funkspektrum darunter. Ein Nachteil ist, dass sich Mikrowellen nur auf der Sichtlinie ausbreiten können, d. h. sie können keine Hügel oder Berge umrunden, wie dies bei Funkwellen mit niedrigeren Frequenzen möglich ist.
Die Mikrowellenfunkübertragung wird häufig in Punkt-zu-Punkt-Kommunikationssystemen auf der Erdoberfläche, in der Satellitenkommunikation und in der Weltraumfunkkommunikation eingesetzt. Andere Teile des Mikrowellenfunkbandes werden für Radare, Funknavigationssysteme, Sensorsysteme und die Radioastronomie genutzt.
Mikrowellenfunksysteme sind Träger für Sprach- und Datensignale, billig und leicht anzuzapfen.
Mikrowellen-Funksystem

Satellitenradio-Link
Satellitenradio ist ein Radiodienst, der von Satelliten aus hauptsächlich für Autos ausgestrahlt wird, wobei das Signal landesweit und in einem viel größeren geografischen Gebiet als bei terrestrischen Radiosendern übertragen wird. Es ist im Abonnement erhältlich, meist werbefrei, und bietet den Abonnenten mehr Sender und eine größere Vielfalt an Programmoptionen als das terrestrische Radio.
Die Satellitenfunkverbindung nutzt Transponder zum Senden von Informationen und kann leicht abgefangen werden.
Die folgenden Antworten sind falsch:
Glasfaserkabel - Glasfaserkabel werden für große Entfernungen verwendet, sind schwer zu spleißen, nicht anfällig für Übersprechen und schwer abzuhören. Es unterstützt Sprachdaten, Bild und Video.
Funksystem - Funksysteme werden für kurze Entfernungen verwendet, sind billig und leicht anzuzapfen.
Satelliten-Radioverbindung - Die Satelliten-Radioverbindung verwendet einen Transponder, um Informationen zu senden, und lässt sich leicht abhören.
Referenz:
CISA-Prüfungshandbuch 2014 Seitenzahl 265

Abschnitt: Schutz von Informationswerten

Die beste Methode zum Schutz sensibler Informationen, wie z. B. personenbezogener Daten, die in einem bestimmten Datenformat gespeichert sind, während die Softwareentwickler sie in Entwicklungs- und Testumgebungen verwenden können, ist die Datenmaskierung. Datenmaskierung ist eine Technik, bei der sensible Datenelemente durch fiktive oder modifizierte Datenelemente ersetzt oder unkenntlich gemacht werden, wobei das ursprüngliche Format und die Eigenschaften der Daten erhalten bleiben. Die Datenmaskierung kann dazu beitragen, sensible Informationen wie z. B. personenbezogene Daten, die in einem bestimmten Datenformat gespeichert sind, zu schützen und gleichzeitig den Softwareentwicklern die Verwendung in Entwicklungs- und Testumgebungen zu ermöglichen, indem die Aufdeckung oder Offenlegung der echten Datenwerte verhindert wird, ohne die Funktionalität oder Leistung der Software oder Anwendung zu beeinträchtigen. Die anderen Optionen sind nicht so effektiv wie die Datenmaskierung, wenn es darum geht, sensible Informationen wie z. B. personenbezogene Daten, die in einem bestimmten Datenformat gespeichert sind, zu schützen und gleichzeitig den Softwareentwicklern die Nutzung in Entwicklungs- und Testumgebungen zu ermöglichen, da sie unterschiedliche Einschränkungen oder Nachteile haben. Die Tokenisierung von Daten ist eine Technik, bei der sensible Datenelemente durch nicht sensible Token ersetzt werden, die keinen eigenen Wert oder keine eigene Bedeutung haben. Die Tokenisierung von Daten kann sensible Informationen wie z. B. personenbezogene Daten vor unbefugtem Zugriff oder Diebstahl schützen, behält aber möglicherweise nicht das ursprüngliche Format und die Eigenschaften der Daten bei, was die Funktionalität oder Leistung der Software oder Anwendung beeinträchtigen kann.
Die Datenverschlüsselung ist eine Technik, bei der sensible Datenelemente mit Hilfe eines Algorithmus und eines Schlüssels in unlesbaren oder unverständlichen Chiffretext umgewandelt werden. Die Datenverschlüsselung kann sensible Informationen wie z. B. personenbezogene Daten vor unbefugtem Zugriff oder Änderungen schützen, erfordert jedoch eine Entschlüsselung, um die ursprünglichen Datenwerte wiederherzustellen, was den Softwareentwicklungsprozess zusätzlich verkomplizieren oder belasten kann. Datenabstraktion ist eine Technik, die die Details oder die Komplexität von Datenstrukturen oder -operationen vor Benutzern oder Programmierern verbirgt, indem sie eine vereinfachte Darstellung oder Schnittstelle bereitstellt. Die Datenabstraktion kann dazu beitragen, die Benutzerfreundlichkeit oder Wartbarkeit von Software oder Anwendungen zu verbessern, schützt jedoch keine sensiblen Informationen wie z. B. personenbezogene Daten vor der Aufdeckung oder Offenlegung. Referenzen: CISA-Prüfungshandbuch (digitale Version), Kapitel 5, Abschnitt 5.3.2

Validierungsprüfungen sind eine Art der Datenqualitätskontrolle, die dazu beiträgt, die Integrität der Daten für eine Systemschnittstelle zu gewährleisten. Validierungsprüfungen stellen sicher, dass die eingegebenen oder zwischen Systemen übertragenen Daten korrekt und konsistent sind und den vordefinierten Regeln oder Standards entsprechen. Validierungsprüfungen können Fehler, Anomalien oder Inkonsistenzen in den Daten verhindern oder aufdecken, die die Funktionalität, Leistung oder Sicherheit des Systems beeinträchtigen könnten.
Option C ist richtig, denn Validierungsprüfungen sind eine gängige und wirksame Methode zur Gewährleistung der Datenintegrität einer Systemschnittstelle. Validierungsprüfungen können in verschiedenen Phasen des Datenlebenszyklus durchgeführt werden, z. B. bei der Eingabe, Verarbeitung, Ausgabe oder Speicherung. Validierungsprüfungen können auch auf verschiedene Datentypen angewandt werden, z. B. auf Datentypen, Codes, Bereiche, Formate, Konsistenz und Eindeutigkeit.
Option A ist falsch, weil Systemschnittstellentests eine Art von Softwaretests sind, die die Interaktion zwischen zwei separaten Systemen oder Komponenten eines Systems überprüfen. Systemschnittstellentests stellen nicht direkt die Integrität der Daten einer Systemschnittstelle sicher, sondern eher die Funktionalität und Zuverlässigkeit der Schnittstelle selbst. Systemschnittstellentests können Validierungsprüfungen als Teil ihrer Testfälle verwenden, sind aber nicht dasselbe wie Validierungsprüfungen.
Option B ist falsch, da Benutzerakzeptanztests (UAT) eine Art von Softwaretests sind, bei denen bewertet wird, ob das System den Erwartungen und Anforderungen der Benutzer entspricht. UAT stellt nicht direkt die Integrität der Daten einer Systemschnittstelle sicher, sondern eher die Nutzbarkeit und Akzeptanz des Systems aus der Sicht des Benutzers. UAT kann Validierungsprüfungen als Teil seiner Testszenarien verwenden, ist aber nicht dasselbe wie Validierungsprüfungen.
Option D ist falsch, da Audit-Protokolle Aufzeichnungen von Ereignissen und Aktivitäten sind, die innerhalb eines Systems oder Netzwerks stattfinden. Audit-Protokolle stellen nicht direkt die Integrität der Daten einer Systemschnittstelle sicher, sondern dienen vielmehr dem Nachweis und der Verantwortlichkeit für den Betrieb und die Sicherheit des Systems. Audit-Protokolle können als Teil ihrer Analyse oder Berichterstattung Validierungsprüfungen verwenden, sind aber nicht dasselbe wie Validierungsprüfungen.
Referenzen:
* CISA Online Review Course1, Modul 5: Schutz von Informationsbeständen, Lektion 4: Datenqualitätsmanagement, Folie 5-6.
* CISA-Prüfungshandbuch (digitale Version)2, Kapitel 5: Schutz von Informationsbeständen, Abschnitt 5.3: Datenqualitätsmanagement, S. 281-282.
* CISA-Prüfungshandbuch (Druckversion), Kapitel 5: Schutz von Informationsbeständen, Abschnitt 5.3: Datenqualitätsmanagement, S. 281-282.
* CISA-Fragen, -Antworten und -Erklärungen Datenbank3, Frage-ID: QAE_CISA_722.
* Datenvalidierung - Überblick, Arten, praktische Beispiele4
* Datenvalidität: Die beste Praxis für Ihr Unternehmen5
* Validierung - Datenvalidierung6
* Was ist Datenvalidierung? Arten, Techniken, Werkzeuge7

Audit-Protokolle von Anti-Malware-Tools wären für einen IS-Auditor der beste Nachweis für die kontinuierliche Einhaltung der Richtlinie der globalen Organisation, die besagt, dass alle Arbeitsplätze täglich auf Malware gescannt werden müssen. Audit-Protokolle von Anti-Malware-Tools sind Aufzeichnungen, in denen die Aktivitäten und Ereignisse im Zusammenhang mit der auf den Arbeitsplätzen installierten Anti-Malware-Software festgehalten werden, z. B. Scan-Zeitpläne, Scan-Ergebnisse, Updates, Warnungen und durchgeführte Aktionen1. Anhand dieser Protokolle kann der IS-Auditor überprüfen, ob die Anti-Malware-Software ordnungsgemäß funktioniert, ob die Scans regelmäßig und effektiv durchgeführt werden und ob alle Malware-Vorfälle rechtzeitig erkannt und behoben werden2. Audit-Protokolle von Anti-Malware-Tools können dem IS-Auditor auch dabei helfen, Lücken oder Schwachstellen in der Anti-Malware-Politik oder -Implementierung zu erkennen und Empfehlungen für Verbesserungen zu geben3.
Die anderen Optionen sind nicht der beste Nachweis für die kontinuierliche Einhaltung der Anti-Malware-Richtlinie. Bei den Ergebnissen von Penetrationstests handelt es sich um Berichte, die die Schwachstellen und Risiken der Arbeitsstationen und des Netzwerks aus der Sicht eines externen oder internen Angreifers aufzeigen4. Penetrationstests können zwar dazu beitragen, die Sicherheitslage und die Widerstandsfähigkeit der Organisation zu bewerten, sie liefern jedoch keine Informationen über die täglichen Anti-Malware-Scans oder deren Ergebnisse. Die Bescheinigung der Geschäftsleitung ist eine Erklärung der Geschäftsleitung, dass sie sich an die Anti-Malware-Richtlinie gehalten hat5. Die Bescheinigung des Managements kann zwar Engagement und Verantwortlichkeit demonstrieren, liefert aber keinen objektiven oder überprüfbaren Nachweis der Einhaltung. Aktuelle Malware-Scan-Berichte sind Dokumente, die eine Zusammenfassung oder Details der letzten Anti-Malware-Scans auf den Arbeitsstationen enthalten. Die jüngsten Malware-Scan-Berichte können zwar den aktuellen Status und die Leistung der Anti-Malware-Software aufzeigen, sie liefern jedoch keinen historischen oder umfassenden Nachweis für die Einhaltung der Vorschriften.
Referenzen:
* Malwarebytes Anti-Malware (MBAM) Logsammlung und Bedrohungsberichte ...
* Erkennung von bösartigem Verhalten anhand von Windows-Audit-Protokollen
* PCI-Anforderung 5.2 - Sicherstellen, dass alle Anti-Virus-Mechanismen aktuell sind ...
* Management-Attestierung - ein Überblick | ScienceDirect Topics
* Wie man einen Malware-Scan-Bericht liest | Techwalla

Abschnitt: Schutz von Informationswerten
Erläuterung/Referenz:
In der Netzwerksicherheit ist eine abgeschirmte Subnetz-Firewall eine Variante des Dual-Homed-Gateways und des abgeschirmten Hosts
Firewall. Sie kann verwendet werden, um Komponenten der Firewall auf getrennte Systeme aufzuteilen und so Folgendes zu erreichen
mehr Durchsatz und Flexibilität, wenn auch auf Kosten der Einfachheit. Da jedes Komponentensystem des
abgeschirmte Subnetz-Firewall nur eine bestimmte Aufgabe erfüllen muss, ist jedes System weniger komplex zu
konfigurieren.
Eine abgeschirmte Subnetz-Firewall wird häufig zur Einrichtung einer demilitarisierten Zone (DMZ) verwendet.
Nachfolgend finden Sie einige Beispiele für die Implementierung von Firewalls:
Abgeschirmte Host-Firewall
Mit Hilfe eines Routers zur Paketfilterung und eines Bastion-Hosts wird bei diesem Ansatz eine grundlegende Netzwerkschicht implementiert
Sicherheit und Sicherheit des Anwendungsservers.
Ein Eindringling muss in dieser Konfiguration in zwei getrennte Systeme eindringen, bevor die Sicherheit der privaten
Netzwerk kann kompromittiert werden
Dieses Firewall-System ist so konfiguriert, dass der Bastion-Host mit dem privaten Netzwerk über ein Paketpaket verbunden ist.
Filterrouter zwischen dem Internet und dem Bastion-Host
Dual-homed Firewall
Ein Firewall-System, das über zwei oder mehr Netzwerkschnittstellen verfügt, von denen jede mit einem anderen Netzwerk verbunden ist
In einer Firewall-Konfiguration blockiert oder filtert ein Dual-Homed-Firewall-System in der Regel einige oder alle der
Verkehr, der versucht, zwischen dem Netz
Ein Dual-Homed-Firewall-System ist eine restriktivere Form des Screened-Host-Firewall-Systems.
Demilitarisierte Zone (DMZ) oder abgeschirmte Teilnetz-Firewall
Verwendung von zwei Paketfilter-Routern und einem Bastion-Host
Dieser Ansatz schafft das sicherste Firewall-System, da er die Netzwerk- und Anwendungsebene unterstützt.
Sicherheit bei gleichzeitiger Definition eines separaten DMZ-Netzwerks
Normalerweise werden DMZs so konfiguriert, dass der Zugriff aus dem Internet und dem privaten Netzwerk des Unternehmens eingeschränkt wird.
Die folgenden Antworten waren falsch:
Die anderen in der Option genannten Firewall-Typen verwenden nicht zwei Paketfilter-Router und eine Bastion
Gastgeber.
Die folgende(n) Referenz(en) wurde(n) zur Erstellung dieser Frage verwendet:
CISA-Überprüfungshandbuch 2014 Seitenzahl 346

Bei allen Daten, die über ein Netz übertragen werden, besteht die Gefahr, dass sie abgehört oder sogar von einer böswilligen Person verändert werden. Sogar Maschinen, die als geschlossenes System arbeiten, können durch die Überwachung der schwachen elektromagnetischen Übertragungen, die von der Hardware erzeugt werden, wie z. B. TEMPEST, abgehört werden.

Erläuterung
Der beste Beweis für die Wirksamkeit einer IT-Strategiekorrektur ist die Synchronisierung der IT-Aktivitäten mit den Unternehmenszielen. Die IT-Strategiekorrektur ist ein Prozess der Überprüfung und Anpassung der IT-Strategie, um sicherzustellen, dass sie mit der Unternehmensstrategie und den Unternehmenszielen übereinstimmt und diese unterstützt. Die Synchronisierung der IT-Aktivitäten mit den Unternehmenszielen bedeutet, dass die IT-Aktivitäten mit den Unternehmenszielen und -visionen übereinstimmen und zu deren Erreichung beitragen. Der IS-Auditor kann die Wirksamkeit der IT-Strategiekorrektur messen und bewerten, indem er die IT-Aktivitäten mit den Unternehmenszielen vergleicht und beurteilt, ob sie aufeinander abgestimmt, integriert und koordiniert sind. Die anderen Optionen sind kein so guter Nachweis für die Wirksamkeit einer IT-Strategiekorrektur, da sie entweder nicht die Ausrichtung von IT und Geschäft widerspiegeln oder eher Inputs oder Outputs des IT-Strategiekorrekturprozesses sind als Ergebnisse oder Resultate. Referenzen: CISA-Prüfungshandbuch (digitale Version)1, Kapitel 1, Abschnitt 1.2.1

Abschnitt: Schutz von Informationswerten
Erläuterung:
Die Auswahlmöglichkeiten A, B und C sind falsch, da keine von ihnen mit dem zu prüfenden Bereich zusammenhängt. Bei der Prüfung der vorgeschlagenen Anwendung sollte der Prüfer sicherstellen, dass die zu beschaffenden Produkte mit dem aktuellen oder geplanten Betriebssystem kompatibel sind. Bei Auswahl A ist das Betriebssystem mit der vorhandenen Hardwareplattform kompatibel, da es sonst nicht ordnungsgemäß funktionieren würde, wenn es bereits verwendet wird. Bei Wahl B sollten die geplanten Betriebssystem-Updates so geplant werden, dass die negativen Auswirkungen auf das Unternehmen möglichst gering sind. Bei Wahl C sollte das installierte Betriebssystem mit den neuesten Versionen und Updates ausgestattet sein (mit ausreichender Historie und Stabilität).

Die Genauigkeit der Quelldaten ist eine Voraussetzung für die Qualität der Daten in einem Data Warehouse. Die Glaubwürdigkeit der Datenquelle, genaue Extraktionsprozesse und genaue Transformationsroutinen sind zwar wichtig, können aber ungenaue Daten nicht in hochwertige (genaue) Daten verwandeln.

Abschnitt: Schutz von Informationswerten
Erläuterung:
Der Ausfall eines Backbone-Netzes hat den Ausfall des gesamten Netzes zur Folge und beeinträchtigt die Fähigkeit aller Nutzer, auf Informationen im Netz zuzugreifen. Die Nichtverfügbarkeit eines alternativen PBX-Systems hat zur Folge, dass die Benutzer keine Telefonanrufe oder Faxe tätigen oder empfangen können; die Benutzer können jedoch über alternative Kommunikationsmittel wie Mobiltelefone oder E-Mail verfügen. Das Fehlen von Backup-Systemen für Benutzer-PCs wirkt sich nur auf bestimmte Benutzer aus, nicht auf alle Benutzer. Der Ausfall des Zugangskartensystems wirkt sich auf die Fähigkeit aus, Aufzeichnungen über die Benutzer zu führen, die die angegebenen Arbeitsbereiche betreten; dies könnte jedoch durch manuelle Überwachungskontrollen gemildert werden.

Abschnitt: Schutz von Informationswerten
Erläuterung:
Bei der Einführung von Systemen zur kontinuierlichen Überwachung besteht der erste Schritt eines IS-Prüfers darin, die Bereiche mit hohem Risiko innerhalb der Organisation zu ermitteln.